28用户访问管理程序.docx

目录目录11目的22范围23职责24相关文件25程序36记录5系统访问权限说明书5用户访问授权申请表5用户访问授权登记表5用户访问权限评审记录51目的为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户）实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。2范围本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。3职责3.1 各部门职责负责访问权限的申请、审批、执行。有信息系统的部门负责各部门的信息系统权限控制。由综合部通知人事变更情况，按照人事变更情况变更相应权限。综合部：负责财务系统及设备维护系统的用户权限控制。综合部：负责SVN系统及设备维护的用户权限控制。市场部：负责漏洞扫描系统及设备维护的用户权限控制。3.2 综合部职责负责向各部门通知人事变动情况。负责外来人员物理访问控制。负责邮件系统的用户权限访问控制。负责公司网站内部管理用户权限访问控制负责电话、网络权限控制4相关文件信息安全管理手册口令策略5程序5.1 访问控制策略组织内的信息根据秘密等级，分别向不同职位的员工公开。a）组织的宣传文件、制度、培训材料、参考文献可向全体员工公开;b）人事信息只对综合部公开；c）财务信息只对综合部财务人员公开；d）业务信息只对相关业务人员公开。各部门系统管理人员根据不同类别的信息，设置其访问权限。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各部门应编制系统访问权限说明书，明确规定访问规则。5.2 用户访问管理5.2.1 权限申请所有用户，包括相关方人员均需要履行访问授权手续。申请部门根据业务、管理工作的需要，确定需要访问的系统和访问权限，经过本部门经理同意后，向相关部门系统管理人员提交用户访问授权申请表，负责部门相关人员在用户访问授权登记表上登记。用户访问授权申请表应对以下内容予以明确：a）权限申请人员；b）访问权限的级别和范围；c）申请理由；d）有效期。如果是公司有新入职人员，按照综合部提交的入职申请表，相关部门需要按照系统访问权限说明书，给予相应的用户权限。如果不是新入职或离职员工，在系统使用过程中需要变更信息系统用户权限的用户，需要提交用户访问授权申请表给部门经理签字、然后提交到相应信息系统管理部门的系统管理员，由系统管理员给予相应用户权限，相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。但相关方和第三方服务人员一般不允许成为特权用户。必要时，相关方人员需与访问接待部门签订相关方保密协议或第三方服务保密协议。对于需要申请配置管理系统软件权限的人员，按以下规定执行：1、项目内由于人员变动或非本项目成员，需申请权限的，需要填写配置库权限申请表，项目经理审批后，由配置管理人员分配相关权限，并在用户访问授权登记表上登记。2、客服任务需授予相关配置项权限的，由配置管理人员直接按照部门任务的内容分派权限3、跨部门申请配置库权限，需填写配置库权限申请表，相关部门经理或富管审批，由配置人员分配权限，并在用户访问授权登记表上登记。5.2.2 权限变更对发生以下情况对其访问权应从系统中予以注销：a）内部用户雇佣合同终止时；b）内部用户因岗位调整不再需要此项访问服务时；c）相关方访问合同终止时；d）其它情况必须注销时。如果是公司有离职人员，按照综合部提交的离职交接单，相关部门需要按照系统访问权限说明书，取消相应的用户权限。由于用户变换岗位等原因造成访问权限变更时，用户应重新填写用户访问授权申请表，按照本程序521的要求履行授权手续。综合部应将人事变动情况及时通知各部门。如涉及到SVN权限变更时，需填写配置库权限申请表，相关部门经理或高管审批，由配置人员分配权限，并在用户访问授权登记表上登记。特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门经理批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。5.2.3 用户访问权的维护和评审对于任何权限的改变（包括权限的创建、变更以及注销），各管理部门应进行记录，填写用户访问授权申请表包括：a）权限开放/变更/注销时间；b）变化后权限内容；c）开放权限的管理员,信息安全小组每半年应对访问权限进行检查，发现不恰当的权限设置，应通知相应部门予以调整。信息安全小组每半年应对特权用户访问权限进行检查，发现过期的权限设置，应通知相应部门予以注销。信息安全小组应对访问权限的检查结果应记录在访问权限评审记录上。5.3 用户口令管理各部门管理员应按以下过程对被授权访问该系统的用户口令予以分配：a）分配给用户一个安全口令，并通过安全渠道传递给用户；b）当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。所有用户在选择与使用口令时应严格遵组织的口令策略。5.4 外来人员物理访问外来人员的物理访问综合部控制，当有来访者要进入本组织时，必须先向组织申请，并说明访问目的及访问人员，在登记完第三方物理访问申请授权表后，综合部人员通知受访部门人员后，才可进入组织内部。6记录系统访问权限说明书用户访问授权申请表用户访问授权登记表用户访问权限评审记录